Business Studio: разграничение прав через HTML-навигатор

Юрий Радченко

Компания R-Consult

Крупные организации часто задают вопрос о разграничении прав при работе пользователей с бизнес-моделью и разграничении прав при работе с регламентами, полученными с помощью Business Studio. Особенно популярен этот вопрос у банков. Предлагаю в этой статье рассмотреть тему прав пользователей.

Когда поднимают вопрос о разграничении прав, то обычно имеют в виду решение двух различных задач:

Сделать недоступными определенные данные бизнес-модели для исполнителей, работающих по созданным с помощью Business Studio регламентам;
Дать право менять что-то в модели непосредственным пользователям Business Studio (методологи, бизнес-аналитики) только по их участку работы. А если кем-то что-либо сделано не у себя, то это отследить.
Реже — не давать видеть данные вне своей зоны ответственности.

Прежде, чем приступить к демонстрации практического примера, я бы хотел кратко представить обширные возможности Business Studio в плане разграничения прав и совместной работы. Кратко потому, что более детально тема раскрыта в документации «Руководство пользователя» и «Руководство технического специалиста».

Еще хочу обратить внимание, что новички в работе с подобными системами имеют не совсем корректное представление о тех сотрудниках, которые будут использовать Business Studio. Непосредственно в системе Business Studio будет работать ограниченная группа сотрудников (до 20 человек, например). А плодами их труда, которые выражаются в виде регламентных документов, будут пользоваться все остальные сотрудники компании. Business Studio — не должен стоять на рабочем месте у каждого сотрудника, это не ERP-подобная система. Отсюда вытекают определенные задачи по разграничению прав.

И еще. Работа с бизнес-моделью без предварительного разграничения прав также возможна. При этом будет все происходить корректно: если какой-то пользователь, например, работает с диаграммой бизнес-модели, то при обращении к этой же диаграмме другого пользователя, Business Studio выдаст соответствующее сообщение и покажет диаграмму только в режиме чтения. В один момент времени разные сотрудники могут редактировать разные ветки бизнес-процессов/организационной структуры/документов.

Разграничение прав при работе с бизнес-моделью

Организацию доступа к бизнес-модели можно разделить на 2 части:

Доступ к самой базе данных (БД)
Настраивается в «DB Администратор»;
Доступ к данным внутри БД (бизнес-модели).
Так называемые «вертикальные» и «горизонтальные» права.

Доступ к базе бизнес-модели

В «DB Администратор» задается доступ пользователя к базе данных, также можно указать, что он является Администратором. В качестве пользователей могут выбираться пользователи домена, SQL или пользователи на компьютере.

Вертикальные и горизонтальные права в бизнес-модели

»Вертикальные права» задают уровень доступа в целом к классу (справочнику) или конкретным параметрам класса, действиям с объектами класса Например, разрешается редактировать все процессы, но нет прав создавать новые процессы, и не разрешается видеть параметр процесса «Требования к срокам».
»Горизонтальные права» определяют доступ к конкретному объекту. Например, пользователю нельзя видеть ветку «А3 Воспроизводство персонала».

Вертикальные права

Настройка «вертикальных прав» выполняется через меню «Администрирование»: классы «Пользователи», «Права», «Права пользователя», «Категории прав».

Горизонтальные права

«Горизонтальные права» на конкретный объект (или объекты ниже по иерархии) задаются через контекстное меню «Права доступа».

Другие варианты защиты данных модели от изменений

Помимо явно выраженных механизмов защиты данных, есть механизмы защиты от случайных изменений, которые могут возникать в ходе совместной работы нескольких пользователей.

Взять на редактирование

Простой способ защиты от случайного изменения диаграммы процесса коллегами — поставить пометку на редактирование от своего имени. С диаграммой сможет работать только один человек.
Делается это через контекстное меню процесса: Совместная работа — Пометить на редактирование/Снять пометку.

Если коллегам крайне необходимо изменить что-то в диаграмме (например, вы в отпуске, а работы с моделью продолжаются), то они смогут снять эту пометку и продолжить редактирование.

Статус процесса «Опубликован»

Чтобы никто (даже разработчик процесса) не смог изменить согласованный всеми и утвержденный для работы бизнес-процесс, ему можно присвоить статус «Опубликован». Изменить процесс возможно будет лишь при изменении статуса на любой другой, отличный от «Опубликован».

Отслеживание действий пользователей при работе с бизнес-моделью

Ведение аудита

Business Studio может отслеживать какие объекты, кто и когда создавал, сохранял, удалял и восстанавливал. Причем, это может делаться как в отношении всего объекта, так и каких-либо его параметров.
По умолчанию ведение аудита отключено. Настроить аудит можно через меню «Администрирование» — «Справочники администрирования» — «Настройки аудита».

Результаты аудита можно получить через окно свойств объекта «Действия» — «Показать историю изменений».

Следует помнить, что процесс ведения аудита создает дополнительную нагрузку на базу данных ввиду постоянного ведения логов работы.

Параметр Версия

У каждого объекта в системе есть параметр «Версия», в котором хранится информация о том, кто и когда создал объект, кто и когда последний раз изменял объект, кто и когда ставил объекту пометку на редактирование.

Увидеть параметр «Версия» можно, осуществив его вывод на просмотр через кнопку «Действия» — «Настройка колонок» в окне свойства объекта (см. рисунок ниже).

Доступ исполнителей к регламентным документам

На данный момент в версии Business Studio 3.6 регламентные документы рождаются в 2-х основных видах:

Файлы формата Word и Excel;
HTML-навигатор (набор статичных html-страниц).

Файлы сохраняются в отдельную папку, заданную пользователем. Идея разграничение доступа — это разграничение доступа к конкретной папке с файлами. Задача решается системными администраторами из ИТ-службы компании. Таким образом, Пользователю Business Studio необходимо определить, в какую папку и что именно необходимо генерировать из Business Studio, и соответствующим образом настроить систему.

Пример разграничения прав на доступ к HTML-навигатору

Исходные данные

Имеется бизнес-модель компании «ИнТехПроект» (демонстрационная база Business Studio). Напомню процессы верхнего уровня, доступ к которым в этом примере и будем ограничивать:

A0 Деятельность в области проектирования и монтажа инженерно-технических систем;
A1 Разработка стратегии и развитие бизнеса;
A2 Продвижение и продажи;
A3 Воспроизводство персонала;
A4 Планирование и осуществление проектных работ;
A5 Воспроизводство инструмента;
A6 Закупки и снабжение;
A7 Финансирование деятельности и расчеты.

Также имеется типовой процесс «ТП1 Юридическое оформление договора».

Постановка задачи

В HTML-навигаторе сотрудники должны иметь доступ к одним данным и не иметь к другим.

Схема доступа к процессам на уровне доступа на чтение и запись представлена в таблице ниже. При этом следует учесть, что:

Схема доступа приведена в качестве примера;
Под субъектами понимается не только конкретная должность или подразделение, но и все подчиненные ему сотрудники (все субъекты по иерархии ниже).

Процесс Субъект	А0	А1	А2	А3	А4	А5	А6	А7	ТП1
Директор	Да	Да	Да	Да	Да	Да	Да	Да	Да
Зам. директора по качеству	Да	Да	Да	Да	Да	Да	Да	Да	Да
Бухгалтерия	Да							Да
Зам. директора по производству	Да				Да	Да			Да
Отдел кадров	Да			Да
Отдел продаж	Да	Да	Да
Юрист	Да				Да		Да		Да

Таблица 1. Доступ Субъектов к Процессам

Схема доступа сотрудников на просмотр должностных инструкций и положений подразделений представлена в таблице ниже.

Субъект	Директор	Зам. директора по качеству	Бухгалтерия	Зам. директора по производству	Отдел кадров	Отдел продаж	Юрист
Интехпроект	Да	Да	Да	Да	Да	Да	Да
Директор	Да	Да	Да	Да	Да	Да	Да
Зам. директора по качеству	Да	Да	Да	Да	Да	Да	Да
Бухгалтерия			Да
Зам. директора по производству				Да
Отдел кадров					Да
Отдел продаж						Да
Юрист							Да

Таблица 2. Доступ Субъектов к Должностным и Положениям подразделений

Доступ к бумажным документам не ограничен (в данном конкретном примере), к другим данным бизнес-модели доступ закрыт.

Таким образом, всех сотрудников можно разделить на соответствующие группы пользователей (ГП), которые представлены в таблице ниже.

Субъект	ГП1	ГП2	ГП3	ГП4	ГП5	ГП6
Директор	Да
Зам. директора по качеству	Да
Бухгалтерия		Да
Зам. директора по производству			Да
Отдел кадров				Да
Отдел продаж					Да
Юрист						Да

Таблица 3. Распределение пользователей по группам

Реализация

Для каждой группы пользователей необходимо сформировать отдельный HTML-навигатор. Для четкости и ясности сформируем таблицу, которая покажет какие объекты будут в ходить в каждый HTML-навигатор.

Субъект	ГП1	ГП2	ГП3	ГП4	ГП5	ГП6
Процессы
A0 Деятельность в области проектирования и монтажа инженерно-технических систем	Да	Да	Да	Да	Да	Да
A1 Разработка стратегии и развитие бизнеса	Да				Да
A2 Продвижение и продажи	Да				Да
A3 Воспроизводство персонала	Да			Да
A4 Планирование и осуществление проектных работ	Да		Да			Да
A5 Воспроизводство инструмента	Да		Да
A6 Закупки и снабжение	Да					Да
A7 Финансирование деятельности и расчеты	Да	Да
ТП1 Юридическое оформление договора	Да		Да			Да
Субъекты
Интехпроект	Да
Директор	Да
Зам. директора по качеству	Да
Бухгалтерия		Да
Зам. директора по производству			Да
Отдел кадров				Да
Отдел продаж					Да
Юрист						Да
Объекты деятельности
Бумажные документы	Да	Да	Да	Да	Да	Да

Таблица 4. Состав будущих HTML-навигаторов

Примечание. Если бы были ограничения на доступ к объектам (бумажные документы, ТМЦ, информация и т. д.), то в состав каждого HTML-навигатора следовало бы включить необходимые объекты. Например, если необходимы документы, участвующие в бизнес-процессе. Получить список таких документов можно через существующий отчет «Документооборот процесса». Или можно создать подобный такой отчет самостоятельно.

В случае изменений (добавления, удаления объекта в бизнес-процессе) следует вручную изменять состав для HTML-навигатора. Возможно создать отчет, который будет сравнивать используемые объекты (например, документы) в бизнес-процессе и те, что будут использоваться для формирования HTML.

Как уже было отмечено выше, для каждого отдельного HTML-навигатора создается своя папка. К каждой такой папке на уровне сетевых ресурсов дается доступ на чтение определенной группе пользователей и запрещается доступ для других пользователей (Таблица 3).

Состав HTML навигатора нагляднее зафиксировать в соответствующих Группах в окне Навигатора. Состав таких Групп приведен в таблице выше (Таблица 4).

Примечание. Такое использование группы позволяет увидеть только нужные объекты в окне Навигатора непосредственно в Business Studio. Для этого необходимо в окне Навигатора выбрать группу и на панели Навигатора нажать кнопку «Включить/выключить фильтр» .

При формировании HTML-навигатора по умолчанию выбираются объекты от самого начала ветки, до ее последних объектов. Поэтому перед формированием HTML-навигатора следует снять галочки с некоторых объектов. Например, чтобы сотрудники производства не имели доступа к должностной инструкции Директора, следует исключить субъект «Директор». Выбор галочек может быть запомнен в пометках и в дальнейшем выбираться без снятия галочек вручную.

Папки сформированных HTML-навигаторов для Групп пользователей 3 и 6 можно загрузить здесь: HTML-Группа пользователей 3, HTML-Группа пользователей 6. Для просмотра HTML-навигатора достаточно двойным кликом мыши запустить файл index.htm, находящийся в папке.

Как видно, Business Studio имеет широкий арсенал возможностей по разграничению прав как при работе над моделью, так и при использовании созданных в этой системе бизнес-моделирования регламентов.

По своей практике могу сказать, что тема разграничения прав часто поднимается банками, которые очень трепетно относятся к распространению любого рода информации. И вопрос о возможностях продукта в этой области идет в числе первых. О том, насколько представленные возможности удовлетворяют кредитные организации, можно судить по списку банков на странице клиентов, использующих систему Business Studio.

Ноябрь 2011 г.